Червь Stuxnet - оружие "Моссада" против российско-иранских атомщиков?

комментарии (2)
версия для печати

Немецкий эксперт по киберзащите промышленных систем Ральф Лангнер (Ralph Langner) выяснил, что червь Stuxnet был создан с намерением поразить конкретную цель. Лангнер предполагает, что этой целью является атомная электростанция в Бушере (Иран).

Напомним, что Stuxnet был обнаружен специалистами белорусской компании "ВирусБлокАда". Очень быстро стало понятно, что на этот раз антивирусники столкнулись с исключительно хитроумной вредоносной программой, явно созданной не "на коленке".

Так, червь распространялся через флеш-накопители при помощи неизвестной ранее уязвимости Windows и, к тому же, был подписан легальной цифровой подписью известной компании (а именно, Realtek). Выяснилось также, что, несмотря на столь эффективные возможности для распространения, Stuxnet интересуется исключительно системами контроля производственными процессами (SCADA), которые работают под управлением SIMATIC WinCC корпорации Siemens.

Более пристальное изучение червя антивирусными специалистами выявило, что вредонос содержит ещё несколько эксплойтов, в том числе для так называемых уязвимостей нулевого дня (то есть неизвестных ранее "хорошим парням"). Эти уязвимости, использующиеся червём для распространения по локальным сетям, были обнаружены специалистами "Лаборатории Касперского", а также, независимо от них, экспертами Symantec. Одну из них в Microsoft уже успели устранить, выпустив соответствующую "заплатку" в начале этого месяца.

Казалось бы, все эти свойства Stuxnet свидетельствуют в пользу гипотезы о том, что речь идёт о промышленном шпионаже. Однако Лангнер недавно обнаружил в коде червя ещё один весьма примечательный фрагмент. Оказалось, что Stuxnet на самом деле интересуется не всеми подряд системами SIMATIC WinCC, а лишь той, что настроена на работу с определённым программируемым логическим контроллером (ПЛК). При обнаружении именно этого "железа" червь внедряет в него особый код. (Подробности того, как именно происходит заражение ПЛК, несколько часов назад опубликованы в блоге Symantec.)

Таким образом, очень дорогостоящий червь распространяется по многочисленным компьютерам мира с единственным намерением — найти одну конкретную цель. Очевидно, что для атакующих эта цель имеет особую важность. Очевидно и то, что с атакой долго тянуть нельзя, ведь рано или поздно червь будет обнаружен и исследован (что уже произошло).

В связи этим Лангнер предположил, что червь уже, скорее всего, достиг цели и сделал своё чёрное дело. И высказал гипотезу, что этой целью является Бушерская АЭС в Иране. Хотя долгожданный запуск этой станции официально состоялся 21 августа, работу она так и не начала. Вскоре появились признания со стороны высокопоставленных иранских чиновников о том, что к АЭС до сих пор свозится топливо, и задержка вызвана якобы исключительно жаркими погодными условиями.

В поддержку гипотезы Лангнера говорят также несколько косвенных фактов, а именно: (а) широкое распространение Stuxnet в Иране и близлежащих странах и (б) игнорирование иранскими атомщиками вопросов киберзащиты. Для иллюстрации второго факта Лангнер приводит скриншот с просроченным WinCC на Бушерской АЭС, а также даёт ссылку на одну из заражённых страничек сайта российского "Атомстройэкспорта", занимавшегося постройкой реактора (ссылку мы не дадим, но можем засвидетельствовать, что Kaspersky Internet Security блокирует к ней доступ).

Дэйл Питерсон (Dale Peterson) из Digital Bond подкинул в теорию Лангнера новых "дров". Питерсон указывает на Израиль, в чьих интересах было не допустить открытия АЭС в Иране. И пытается объяснить участие Израиля в разработке Stuxnet "подсказкой", которую оставили создатели червя в коде его драйверов.

На строку "b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb" давно уже обратил внимание эксперт "Лаборатории Касперского" Александр Гостев, который назвал свою серию публикаций о Stuxnet "Мирт и гуава". Гуава — это растение семейства миртовых. Однако какое отношение вся эта ботаника имеет к промышленно-ориентированному вирусу, Александр не смог тогда понять.

"Самая клевая часть теории, которую я не знал, но просто идеально легла в тему. В книге Эштар в Библии рассказывается о том, как Эштар (бывшая женой персидского царя) сообщает Царю о заговоре против евреев. Царь в ответ разрешает евреям защитить себя и убить своих врагов, — написал Гостев в блоге SecureBlog, комментируя теорию Питерсона. — Имя Эштар данное ей при рождении — Hadassah, что переводится как "Мирт".

Гостев также обращает внимание на то, что в английском языке слова "растение" и "[электро]станция" пишутся одинаково.

Добавим, что о возможных кибератаках Израиля против иранской ядерной программы говорили ещё прошлым летом.

Другие новости